Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Problembehandlung bei der Verfügbarkeit verwalteter Knoten
Für verschiedene AWS Systems Manager Funktionen wie Run Command, Distributor, und Session Manager, können Sie die verwalteten Knoten, auf denen Sie einen Vorgang ausführen möchten, manuell auswählen. In solchen Fällen zeigt das System, nachdem Sie angegeben haben, dass Sie Knoten manuell auswählen möchten, eine Liste der verwalteten Knoten an, auf denen Sie die Operation ausführen können.
Dieses Thema liefert Informationen zur Diagnose, warum ein verwalteter Knoten, für den Sie bestätigt haben, dass er ausgeführt wird, nicht in Ihren Listen verwalteter Knoten in Systems Manager aufgeführt wird.
Damit ein Knoten von Systems Manager verwaltet und in Listen verwalteter Knoten verfügbar ist, muss er drei primäre Anforderungen erfüllen:
-
SSM Agent muss auf dem Knoten mit einem unterstützten Betriebssystem installiert sein und ausgeführt werden.
Anmerkung
Einige haben AWS es geschafft Amazon Machine Images (AMIs) sind so konfiguriert, dass sie Instances starten mit SSM Agentvorinstalliert. (Sie können auch ein benutzerdefiniertes konfigurieren AMI zur Vorinstallation SSM Agent.) Weitere Informationen finden Sie unter Finden Sie AMIs mit dem SSM Agent vorinstallierten.
-
Für Amazon Elastic Compute Cloud (AmazonEC2) -Instances müssen Sie ein Instance-Profil AWS Identity and Access Management (IAM) an die Instance anhängen. Das Instance-Profil ermöglicht es der Instance, mit dem Systems-Manager-Service zu kommunizieren. Wenn Sie der Instance kein Instance-Profil zuweisen, registrieren Sie sie mit einer Hybrid-Aktivierung, was kein übliches Szenario ist.
-
SSM Agent muss in der Lage sein, eine Verbindung zu einem Systems Manager Manager-Endpunkt herzustellen, um sich beim Dienst zu registrieren. Danach muss der verwaltete Knoten für den Service verfügbar sein, was vom Service bestätigt wird, der alle fünf Minuten ein Signal sendet, um den Zustand der Instance zu überprüfen.
-
Wenn der Status eines verwalteten Knotens mindestens 30 Tage beträgt, ist der Knoten möglicherweise nicht mehr in der
Connection LostFleet Manager console. Beheben Sie das Problem, das den Verbindungsverlust verursacht hat, um ihn wieder in die Liste aufzunehmen.
Nachdem Sie sich vergewissert haben, dass ein verwalteter Knoten läuft, können Sie mit dem folgenden Befehl überprüfen, ob SSM Agent wurde erfolgreich beim Systems Manager Manager-Dienst registriert. Dieser Befehl gibt keine Ergebnisse zurück, bis eine erfolgreiche Registrierung stattgefunden hat.
Wenn die Registrierung erfolgreich war und der verwaltete Knoten jetzt für Systems-Manager-Operationen verfügbar ist, gibt der Befehl ähnliche Ergebnisse wie die folgenden zurück.
{ "InstanceAssociationStatusInfos": [ { "AssociationId": "fa262de1-6150-4a90-8f53-d7eb5EXAMPLE", "Name": "AWS-GatherSoftwareInventory", "DocumentVersion": "1", "AssociationVersion": "1", "InstanceId": "i-02573cafcfEXAMPLE", "Status": "Pending", "DetailedStatus": "Associated" }, { "AssociationId": "f9ec7a0f-6104-4273-8975-82e34EXAMPLE", "Name": "AWS-RunPatchBaseline", "DocumentVersion": "1", "AssociationVersion": "1", "InstanceId": "i-02573cafcfEXAMPLE", "Status": "Queued", "AssociationName": "SystemAssociationForScanningPatches" } ] }
Wenn die Registrierung noch nicht abgeschlossen wurde oder nicht erfolgreich war, gibt der Befehl ähnliche Ergebnisse wie die folgenden zurück:
{
"InstanceAssociationStatusInfos": []
}Wenn der Befehl nach etwa 5 Minuten keine Ergebnisse zurückgibt, verwenden Sie die folgenden Informationen, um Probleme mit Ihren verwalteten Knoten zu beheben.
Themen
- Lösung 1: Stellen Sie sicher, dass SSM Agent ist auf dem verwalteten Knoten installiert und wird dort ausgeführt
- Lösung 2: Stellen Sie sicher, dass ein IAM Instanzprofil für die Instanz angegeben wurde (nur EC2 Instanzen)
- Lösung 3: Überprüfen der Konnektivität des Service-Endpunkts
- Lösung 4: Überprüfen der Unterstützung des Zielbetriebssystems
- Lösung 5: Stellen Sie sicher, dass Sie in derselben Instanz arbeiten AWS-Region wie die EC2 Amazon-Instance
- Lösung 6: Überprüfen Sie die Proxykonfiguration, für die Sie sich entschieden haben SSM Agent auf Ihrem verwalteten Knoten
- Lösung 7: Installieren Sie ein TLS Zertifikat auf verwalteten Instanzen
- Problembehandlung bei der Verfügbarkeit von verwalteten Knoten mit ssm-cli
Lösung 1: Stellen Sie sicher, dass SSM Agent ist auf dem verwalteten Knoten installiert und wird dort ausgeführt
Stellen Sie sicher, dass die neueste Version von SSM Agent ist auf dem verwalteten Knoten installiert und wird dort ausgeführt.
Um festzustellen, ob SSM Agent ist auf einem verwalteten Knoten installiert und wird dort ausgeführt, siehePrüfen des SSM Agent-Status und Starten des Agenten.
Zur Installation oder Neuinstallation SSM Agent Auf einem verwalteten Knoten finden Sie weitere Informationen zu den folgenden Themen:
Lösung 2: Stellen Sie sicher, dass ein IAM Instanzprofil für die Instanz angegeben wurde (nur EC2 Instanzen)
Stellen Sie bei Amazon Elastic Compute Cloud (AmazonEC2) -Instances sicher, dass die Instance mit einem Instance-Profil AWS Identity and Access Management (IAM) konfiguriert ist, das es der Instance ermöglicht, mit dem Systems Manager zu kommunizierenAPI. Stellen Sie außerdem sicher, dass Ihr Benutzer über eine IAM Vertrauensrichtlinie verfügt, die es Ihrem Benutzer ermöglicht, mit dem Systems Manager zu kommunizierenAPI.
Anmerkung
Lokale Server, Edge-Geräte und virtuelle Maschinen (VMs) verwenden eine IAM Dienstrolle anstelle eines Instanzprofils. Weitere Informationen finden Sie unter Erstellen der für Systems Manager erforderlichen IAM Servicerolle in Hybrid- und Multicloud-Umgebungen.
So ermitteln Sie, ob ein Instanzprofil mit den erforderlichen Berechtigungen an eine EC2 Instanz angehängt ist
Öffnen Sie die EC2 Amazon-Konsole unter https://console.aws.amazon.com/ec2/
. -
Wählen Sie im Navigationsbereich Instances aus.
-
Wählen Sie die Instance, die nach einem Instance-Profil überprüft werden soll.
-
Suchen Sie auf der Registerkarte Beschreibung im unteren Bereich nach der IAMRolle und wählen Sie den Namen der Rolle aus.
-
Vergewissern Sie sich auf der Seite Summary des Instance-Profils auf der Registerkarte Permissions (Berechtigungen), dass unter den Berechtigungsrichtlinien
AmazonSSMManagedInstanceCoreaufgeführt ist.Wenn stattdessen eine benutzerdefinierte Richtlinie verwendet wird, stellen Sie sicher, dass sie dieselben Berechtigungen wie
AmazonSSMManagedInstanceCorebereitstellt.Öffnen Sie
AmazonSSMManagedInstanceCorein der KonsoleInformationen zu anderen Richtlinien, die an ein Instanzprofil für Systems Manager angehängt werden können, finden Sie unter Konfigurieren der für Systems Manager erforderlichen Instanzberechtigungen.
Lösung 3: Überprüfen der Konnektivität des Service-Endpunkts
Stellen Sie sicher, dass die Instance eine Verbindung zu den Systems Manager Service-Endpunkten hat. Diese Konnektivität wird bereitgestellt, indem VPC Endpunkte für Systems Manager erstellt und konfiguriert werden oder indem ausgehender Datenverkehr zu den Dienstendpunkten zugelassen wird HTTPS (Port 443).
Bei EC2 Amazon-Instances AWS-Region wird der Systems Manager Manager-Serviceendpunkt für die zur Registrierung der Instance verwendet, wenn Ihre Virtual Private Cloud (VPC) -Konfiguration ausgehenden Datenverkehr zulässt. Wenn die VPC Konfiguration, in der die Instance gestartet wurde, jedoch keinen ausgehenden Datenverkehr zulässt und Sie diese Konfiguration nicht ändern können, um Konnektivität zu den Endpunkten des öffentlichen Dienstes zu ermöglichen, müssen Sie stattdessen Schnittstellen-Endpunkte für Sie konfigurieren. VPC
Weitere Informationen finden Sie unter Verbessern der Sicherheit von EC2 Instanzen mithilfe von VPC Endpunkten für Systems Manager.
Lösung 4: Überprüfen der Unterstützung des Zielbetriebssystems
Stellen Sie sicher, dass die ausgewählte Operation für den Typ von verwalteten Knoten ausgeführt werden kann, den Sie in der Liste erwarten. Einige Systems Manager-Vorgänge können nur auf Windows-Instanceen oder nur auf Linux-Instances abzielen. Beispielsweise dokumentiert der Systems Manager (SSM) AWS-InstallPowerShellModule und AWS-ConfigureCloudWatch kann nur auf Windows-Instanzen ausgeführt werden. Wenn Sie auf der Seite Run a command (Ausführen eines Befehls) eines dieser Dokumente auswählen und die Option Choose instances manually (Instancen manuell auswählen) wählen, werden nur Ihre Windows-Instances aufgelistet und stehen zur Auswahl.
Lösung 5: Stellen Sie sicher, dass Sie in derselben Instanz arbeiten AWS-Region wie die EC2 Amazon-Instance
EC2Amazon-Instances werden in bestimmten Regionen erstellt und sind verfügbar AWS-Regionen, z. B. in der Region USA Ost (Ohio) (us-east-2) oder Europa (Irland) (eu-west-1). Stellen Sie sicher, dass Sie in derselben AWS-Region EC2 Amazon-Instance arbeiten, mit der Sie arbeiten möchten. Weitere Informationen dazu erhalten Sie unter Choosing a Region (Region wählen) in Getting Started with the AWS Management Console.
Lösung 6: Überprüfen Sie die Proxykonfiguration, für die Sie sich entschieden haben SSM Agent auf Ihrem verwalteten Knoten
Vergewissern Sie sich, dass die Proxykonfiguration, für die Sie sich entschieden haben SSM Agent auf Ihrem verwalteten Knoten ist sie korrekt. Wenn die Proxy-Konfiguration falsch ist, kann der Knoten keine Verbindung zu den erforderlichen Service-Endpunkten herstellen, oder Systems Manager identifiziert möglicherweise das Betriebssystem des verwalteten Knotens falsch. Weitere Informationen erhalten Sie unter Konfigurieren SSM Agent um einen Proxy auf Linux-Knoten zu verwenden und Konfigurieren des SSM Agent zur Nutzung eines Proxys für Windows Server-Instances.
Lösung 7: Installieren Sie ein TLS Zertifikat auf verwalteten Instanzen
Auf jeder verwalteten Instanz, die Sie verwenden, muss ein Transport Layer Security (TLS) -Zertifikat installiert sein AWS Systems Manager. AWS-Services Verwenden Sie diese Zertifikate, um Aufrufe an andere AWS-Services zu verschlüsseln.
Ein TLS Zertifikat ist standardmäßig bereits auf jeder EC2 Amazon-Instance installiert, die aus einer Amazon Machine Image (AMI). Die meisten modernen Betriebssysteme enthalten das erforderliche TLS Zertifikat von Amazon Trust Services CAs in ihrem Trust Store.
Um zu überprüfen, ob das erforderliche Zertifikat auf Ihrer Instance installiert ist, führen Sie den folgenden Befehl basierend auf dem Betriebssystem Ihrer Instance aus. Achten Sie darauf, das zu ersetzen region Teil von URL mit dem AWS-Region , wo sich Ihre verwaltete Instanz befindet.
Der Befehl sollte einen UnknownOperationException-Fehler zurückgeben. Wenn Sie stattdessen die TLS Fehlermeldung „SSL/“ erhalten, ist das erforderliche Zertifikat möglicherweise nicht installiert.
Wenn Sie feststellen, dass die erforderlichen CA-Zertifikate von Amazon Trust Services nicht auf Ihren Basisbetriebssystemen installiert sind, auf Instances, die von erstellt wurden AMIs die nicht von Amazon oder auf Ihren eigenen lokalen Servern bereitgestellt werden und VMs Sie müssen ein Zertifikat von Amazon Trust Services
Für jede Ihrer verwalteten Instances muss eines der folgenden Transport Layer Security (TLS) -Zertifikate installiert sein.
-
Amazon Root CA 1
-
Starfield Services Root Certificate Authority – G2
-
Starfield Class 2 Certificate Authority
Informationen zur Verwendung ACM finden Sie im AWS Certificate Manager Benutzerhandbuch.
Wenn Zertifikate in Ihrer Computerumgebung von einem Gruppenrichtlinienobjekt (GPO) verwaltet werden, müssen Sie die Gruppenrichtlinie möglicherweise so konfigurieren, dass eines dieser Zertifikate enthalten ist.
Weitere Informationen zu den Amazon Root- und Starfield-Zertifikaten finden Sie im Blogbeitrag How to Prepare for AWS's Move to Its Own Certificate Authority
